代码拉取完成,页面将自动刷新
338
修复 UCenter创始人密码爆破漏洞
已合并
此PR来源于DxGit Forker群内日常交流,感谢@Coxxs 大佬提出此功能具有安全隐患。
此PR为安全性问题,建议所有站点尽快更新。(手动security tag )
目前在UCenter系统上通过URL添加应用模块内发现一个漏洞,此漏洞可以对UCenter创始人密码进行无限次爆破,且后台日志无记录。
考虑到此功能不支持验证码等验证形式,本PR添加了通过URL添加应用功能的开关,强烈建议只有需要通过URL添加应用时开启此开关。
同时考虑到此功能有可能会被打开,因此同时参考后台登录模块策略,对从URL添加应用来的登录请求进行限制(IP、用户),并且对从此API发起的登录、添加、查询操作均纳入UCenter现有日志体系进行统一监管。
关联Issue: https://gitee.com/ComsenzDiscuz/DiscuzX/issues/I17GH0